（信号与信息处理专业论文）基于web客户端的ip层应用vpn系统的研究与实现.pdf

摘要 v p n ( 虚拟专用网) 是内部嘲络或局域嘲在殿特网等公共网络上 的延伸，通过一个私蠢的通遴在公共网络上创建豹一个安全弱耧巍连 接。遮羞l 珏地疆e 翘络技术姻普及，相黠繇豢的贼本淤及整辩的服务 蒺量使铸v p n 技术在网络及电子裔务中的突出蟾位越发显璜，搿 势必并己逐渐成为两络发展的主要方向。 本论文夜深入研究了近年来函内外v p n 领域的研究和发展状况， 并对两大主流v p n 技术扭s e c 和s s l 进行了较为详尽的分析研究的 基础上提出了一种新的v p n 解决方案。提出了纂于应用层反向代理 技术实现i p 层应用的s s 妲x 技术。采用模块化设计思想从身份认证、 数掘访问、访问控制及后台管理槐建v p n 系统。烽基于蹙色躲游润 控卷l 机制应用到、，p n 系统中，爽理程效、灵活、经手管理酌用户谤 魍控铡。运用w l o c i t y 模叛技术修改螽台摄务器鬣篱文件，觚而实现 铁w 搪页西游黢务器进行配置裁参数修改。接下来飙功隧和并发性 搿方面对系统进行了性能测定，竣后对v p n 的改进和发展方向提出 了展凝。 关键词：v p n ，s s l e x ，i p ，p 斟，网络安全 a b s t i 翟c t v p n ( v i 出l 砖p 砖v 采e w o 嫩) 趣t h ee x 毫e n 豳no fl 魏e 攮托鞠娃o f u no nt h cp u b l i cn e t w o r k ( e g i n t e m c t ) b yb u i l d i n gas e p r i v a t c c 0 衄喇i o nt h r o u 曲ap 南砒em 黼e l 。v p nb e c o m e sm o r ca n dm o r e 印撼纽e 珏量纽氇e d o 黼叠no f n e 咖嫩a 鑫d 融& 巍翩翦e 辩，鲁e 黼驻s e o f i t s l o w e rc o s t 她de x c e l l e n ts e r v i c e v p ni se x p e c t e dt 0b ct h ei e a d i n go ft l l e d e v o l o p m e n lo fn e t w o r k 弧i s 如s e 鞋越b n 如确e ri n v e s 毒i g a t e s 西m 龋瓤礤d 骶e 黼s 托s e a f c b a n dp r o 伊e s so fv p n ，a n dp m p o s e san e ws o l u t j o nb a s e do nl p s e ca i i d s s kt h e 蛔om a i n s 打e a mv p nt e c h n o l o g i e s ，硒es s l e xb a s e do 豫v e 僦dp 嘲蹿 主s p 峰粥e d协赫i e v ca p p l i c a t 主o n s黼 l p l a 弦f m o d u l a r i t yt h l f o u g l l w a yi sa d 叩t e dt od e s i 鲫t h es y s t c mb yf 加rm o d u l e s ： i d e n t i t ya u t h e n t i c a t 量o i l ， d a t a a c c e s s ，a o c e s s n l r o la n db a c k g f o u n d a 豳瓣髓f a t i o n 。交0 l 确a s 甜m e c h a 矬i s mi s 鑫p p l i e d 往耋量l e 科s y s 锻珏t o m a k et h ea c c e s sc o n t m le f f e c t i v e ，f l e x i b l e 柚de a s yt ob em a n a g e d t h e j o bo fc o n f i g i l r a t i o n so ft h es e r v e ri sa c m p l i s h e do nt h ew 如p a g e sv i a m 翻静i n g 也。c o n 彝帮蹦i o nf i i c so f 峨曲蚓g 沁h 嬲s e e 强每，g a p a e h 啧 锄dv e l o c i t yw h i c hi 8am o d u l et e c h n o l o g yr e a c t sh e r e i ta l s oi m p l e m e n t s l e s tw o f ko nl h es y s t e m 蠹o m 如n c l 主o n a l 锄ds u b s e q u c n t 辎p e c t s ，粕d 蠡n a | l y 争哪磷c se x c 叼l i o no fa m e l i o 掰垃衄蠲dd 尊v e l 印m e m 礴v p n l 【e y w 孵出：v p n ，s s h ，璎，p k l ，n e t w o r ks e c l l 出y 珏 独创性声明 y8 7 9 5 2 6 本人声明，凄呈交酶学位论文是我个人在导彝指导下 进行的研究工作及取得的研究成果。尽本人所知，除了 文中特别加以标注和致谢的地方终，论文中不趣含其他 人已经发表或撰写过的研究成果，也不包含为获得北京 交通大学或其他教学槐构的学位或证书祗使用过的材 料。与我一起工作的网志对本研究所做的任何贡献已经 在论文中作了明确的说明并表示了谢意。 本人签名：翘媛 日期：生l 年三月! 日 关于论文使用授权的说明 本人完全了解j 匕京交通大学有关保整、使用学位论文 的规定，霹：学校有权保留送交论文的复印件，允许论 文被查阅和借阅：学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其他复制手段保存论文。论 文中嚣有剖毅和藏采羟北京交遥大学计算橇与信怠技 术学院所有。未经许可，任何鹪位和个人不得拷贝。版 权所有，违者必究。 本人签名：丝避 曰期：0 1 ) 年；月哆日 第一章综述 1 1 论文的选题背景 1 1 1 n 概念及作用 虚拟专用网络v p n 【1 1 ( v i n u a lp r j v a t en e t w o r k ) 是揩将物理上分 布奁不同蟪点的网络邋过公筵骨干丽联接而成为遂辑上的虚拟予网。 v p n 实际上是一耱陲络互联犍务，逶过莛享煞弱络蒺醚黎褥满蹩金数 互联霈要，梅远程的分支办公机构、移动办公人员、商业伙伴簿联接 起来。用于构建v p n 的公共网络包括i n t e m e l 、帧中继、a t m 等。在 公共网络上组建的v p n 与企业现有的私有网络一样可以提供安全性、 可靠往帮可管理往等功能。v p n 其有廉撅静特点：v p n 并不是菜个 公司专舂蚊封阉线路线考是糖瘸莱个网络鼹努囊提供的封阙线路，毽 同时v p n 又具有专线的数搬传输功能，因为v p n 能够像专线一样在 公共网络上处理自己公司的信息。v p n 的最终目的是服务于企业，它 具有降低企业成本、简化企业网络的设计、便于扩展、易于建立商、业 饮俸簿往悫，麸露为企韭带来可鬟翡经济媛焱。为蜣我纯企韭豹信惑 共享提供安全可靠的途径。 v p n 技术得到了快速的发展和广泛的应用，这主要是它相对于 传统的专阁网络县有较强的优势和特点，如下： 1 安全傈辩：在非面囱连接的公用强阏络上建立一个递辑的点 懿熹翡连接，称之砖隧遂，程耀霹纛靛热密技术对经蓬隧逡 传输的数据进行加察，实现数据仅被指定的发送者和接收嚣 了解，从而保证数据的私有性和安众性。企业必须确保其 v p n 上传送的数据不被攻击者窥视和篡改，并且要防止非法 北京交通大学硕士学位论文 用户对网络资源或私有信息的访问。 2 降低成本：v p n 在设备的使用量及广域网络的频宽使用上， 均比专线式的架构节省，故能使企业网络的总成本降低。根 据分析，在u 卅- t o l n 连接时，用，n 较使用专线的成 本节省2 0 4 0 左右；而就远程访问而言，用v p n 更能比 直接拨接至企业内部网络节省6 0 8 0 成本，同时也减少 了企业通信和网络的维护及管理的费用。 3 定制化服务：v p n 为企业数据提供不同等级的服务保证。对 于不同的用户和业务需要提供不同等级的服务保证，诸如对 移动办公用户需提供广泛的连接和覆盖性：对于拥有众多分 支机构的专线v p n 网络，交互式的内部企业网应用则要求网 络能够提供良好的稳定性；对于其它应用( 如视频等) 则对 网络提出更为明确的要求，如网络延时及误码率等。 4 扩展容易：通过架设v p n 设备利用i i i t e m e t 建立安全连接， 修改相关配置即可。能够支持通过i l l t e m e t 和e x t r a n e t 的任何 类型的数据流，方便增加新的节点，支持多种类型的传输媒 介，可以满足同时传输语音、图像和数据等新应用对高质量 传输以及带宽增加的需求。 1 1 2 v p n 的分类 v p n 解决方案有四种，最常用的是v p d n ，就是基于拨号的 ，n ；第二种是v p r n ，是基于路由的v p n ；第三种是v l l ，是基 于虚拟专线的v p n ；最后一种v p l s 是基于局域网仿真的v p n 。他 们之间最根本的区别在于数据包在接口( 如桥和路由器) 之间不同的 2 转发方式。这在物理瞬上的体现就是：中继器不检查数据健的内容直 接挺一令端蠢送来戆数据簌另一令壤嗣转发；援蠢爱数攥篷孛戆 m a c 地址转发数据包；路由器稠用网络层地址来转发数据。口隧道 可以看作另一种镟路，这种链路可以和其他链路联通，在联接点上通 过类似于桥转发袭戚者i p 转发表的不同方式，就决定了不同类型的 v p n 。 1 ，寝撅专翊拨号网络( v 扮n ) 戮 目前v p d n 的应用比较广泛。用户利用拨号网络访问氽业数据 中心，用户从企业数掘中心获得一个私有地址，但用户数据可跨公共 数据网络进行传送，可利用p p l t 、戡f 、也t p 等协议实现。v p d n 可敬爱予运遴移凌惩户在嚣要霹逶_ i 建瓣遂穿蘧公耀接入褒箕瞧蘧方 的网络，拨号邋道接入网采用p p p 会话协议通过接入服务器( n a s ) 的标准认证协议，如r a d i u s 的认证之后再进行数据通信服务。t f 提出了l 2 t p 协议来把p p p 会话从妣1 甲接入集中器( l a c ) 延伸到 氇霄网络服务嚣( 瓣s ) 。强t p 秘议楚奁糙f 窝p 班p 之上发震起 寒的，使褥静对镁可敬有两萃孛方式：强铡式和鑫愿式。l 嚣p 毒以孺 u d p 在i p 网络上传输，也可以直接程a t m 或者帧中继网上传输。 2 虚拟专用路由网络( v p r n ) v p r n 是基予路由的v p n ，对网络服务商的硬件要求撮高，但 由予葫爱缀强大，箍貘瓣络豢竟爨谖，大鍪翦垒鼗窖户瘦蠲铰多。雳 户可自由规划企般备分支机构之间的地址、路由策略、炭众机制等。 实现协议包括g r 飘l 2 t p 、v 1 1 p 、i p s e c 、m p l s 等。 构建基于网络的v p r n 常用的方法是借助虚拟路由器v r 的概 念秘功能来实瑗。采用v r 熬翅衷楚掰来传送v p n 网络残爨霹达傣 3 3 b 京交通大学硕士学位论文 息，但对于i s p 来说，运用v r 构建v p r n 研 以直接利用融有协议和 管理资源，简化了针对v p n 的瞥理和系统处理，因此受到广泛的关 注。 3 虚拟租用线路( j i j ) v l l 是基于虚拟专线的一种v p n ，在公网上开出各种隧道，模 掇专线来建立碳戮。宅撵攥煮辩焘静连接，v 班，弼来连羧两拿蔫户 终端设备c p e 。用来连接c p e 和i s p 节点的可以是任何链路类型， 如舢r 喱v c c 或者帧中继电路，丽c p e 可以怒路由器、桥绒嚣单独的 圭撬。薇令l s 帮点都与撑爨络穗连，瑾耱遴在这两令繁轰之溺建 立，在每个l s p 节点上通过系统配置，在第：层上将网络予段与隧道 绑定( 如衄mv c c 和i p 隧道) ，这样数据包跨越了公网中继传输。 毽扶璃户豹焦度蔷謇，努像哭辑一条a r mv c c 或者辕孛缀毫路用来 连接两个c p e 设备。在v l l 中，i p 隧道协议必须支持多协议处理， 当数搦包排序对用户很重要时，该隧道也要支持数据包排膨。如果隧 道戆建立是采蠲倍令协议静话，貔要采翊数撂驱动翡方式，警获建户 予湖段接收到数据并且没有隧道存在时就需骚建立隧道。 岛实际的专线相比，v l l 的好处是可以节省一些费用，但是这 种专线楚在公掰上抒隧遂，是遨掰第三罄协议打赉来静专线，这静专 线的质量和稳定性都不是很好，而且在企业的分支点或联系的人比较 多的时候，隧道入户多，管理起来很困难。 4 虚擞专鬻b n 子弼毅( v p l s ) v p l s 是在公网上用隧道协议仿真出来一个局域网，可以用来连 接多个a e 子段，透明地提供跨越公网的b k n 服务，采用桥或者路 由器掇c p e 连按弼i s p 边界设裔。在拓羚和搽佟上v p l sj # 常类戳予 4 藩嚣黥w - r n ，举过v p 峪霸络瓣每个边界繁点在她址分配秘数握包 转笈梳翻上，采羯的是链路桥的方式雨不是鼷络藩静方式。 1 1 3 国内外v 薹氍的讲究和发展概嚣 国外v p n 技术的发展非常迅速，由于嗣外在网络发展和协议的 设计上的领先地位，使得他们的产品在技术上和产品的成熟性方面均 有优势。但随羞浅国网络的发展和相关科技人员的努力探索，使得我 们对网络技术积专业知识有了缀大程度的提高。目前国内外现有的 v p n 技术鼹决方案提摄其在阚终中辨处购层次可分为以下几秘方式： l 。链路层麓密方式：在每条暹铸售遵熬濒端，醌置稠使用相月的 船解密设备。这些笳解密设备为与馥逶镄链路上钓繇有数务数撬提供 加密保护。此方法的缺点蔻在每个审闻结点都簧述行加密和解密运 算，消息有泄密的可能，同时由于其加解密设备发展速度远近滞后予 网络及相关设备的发展速度，影响网络传输的效率。 2 基于会话层( s o c k e th ”r ) 上的安全套接层s s u s e c u r es o c k e t l a y e r ) 方式：s s l 协议是1 9 9 4 年底出n e t s c a p e 公司服务。s s l 采用 t 碧终为煌输执议提供数摄豹可靠传送、加密和瀵息完整性提供安全 服务。理论上，s s l 霹以为足乎墩毒应用粳彦提供安全接口，但实 际中s s l 代码常被嵌入到菜一旋焉程序( 翔w 搪测菱器接送按牧， s s l 工作在会话层t ，独立子更高的应用蘑，罄在为客户和服务器之 间的安全通信掇供僳证。s s l 的主瑟缺点有醣下方面： a 认证功能比较弱； b 由于s s l 是建立在面向连接的t c p 协议之上，因此对建立在觅 连接u d p 之的应用程序( 如耀电话) 无法提供安全保护； 5 北京交通犬学硕士学位论文 c 由于s s l 经常与浏览器捆绑使甩，因此修改s s l 的源代码可能 会影响现有应用稳序的正常运行，无法继续与现有的浏懿器捆绑使 覆。 3 应用层的蜜金协议方式：应用层的安全协议一般包括包括 s 吣瑚r i b s 和e m a i l 的安全( p g 黝陀m ，s m i m e ) 。s h m 在1 9 9 4 年囊级隧m e 凇：n e t 建议撵爨，黄先蘑手毫予商务，鑫被貔疆w 曲 t r a l l s a c t i o n 安全工作组考虑采用。s m 田可提供数据的机密性、完 整性及服务器和客户机的识别、认证功能。它森h 羽曙协议框架上增 热了安全功麓；箕安全协议翡实现过程中薅现骞热密算法秘安全瓿铡 的支持上比s s l 要灵活。p g p p e m ，s m i m e 用于保护电子邮件的安 全，锻括邮件的认诞性、保密憾、数据完整性稠不可否认傲，有时还 要求瓣名毪。s 掰骚，窥 g 糊p e 疆s ，m l m e 均是基予潢患辊割 ( w i n d 0 w s 驱动机制，如支持鼠标驱动) 的安全协议，适含于商业场 合的安全应用。s 。w r r p 和p g w 糖m 、s ，m i m e 的缺点是：对用户不 够透明，缺乏逶粥拣窝广泛可麓的实现，必须对每个盔蕉糕痔单独开 发相成的安全协议。 碡基于网络艨艘安全加密方式：i n l e m e 的鄹络层的安全结构的 开发王作在i 9 9 3 零就已经开始，首先对l n 锹髓e l 上数逶售辍供密码保 护。1 9 9 6 年公布了m v 6 协议，i p v 6 强制执行瑚的安全标准，是下 一代的网络安全协议标准。毋层的安全包括鼹个功能：即认诞和加密。 试涯瓤涮傈涯接收豹数蕹包藏怒赉该毽报头审掰标识出翡、作为该分 组的源所发送的，同时还要保证该数据包在传送过程中没肖被篡改： 加密保证逶信节点辩所传送信感避行躯密，防止第三方窃孵。 6 1 2 论文的意义及主要工作 1 2 1 论文的意义 v p n 技寒毽静跫秀爨德双方程公共瓣络主撵供一条嶷垒静避 道，在保障安全的前提下，不影响通信的效率。对于国外己有的安全 产品，有关法律、法规已经明确了它的应蹋范围，允其在政府、军队 等保密性要求较高的用户领域，解决国内信熙安全阔题归根至u 底还是 要纛本国自己的技术和管理，而国内的v p n 产品类型单一，且功能 不尽如入意。本论文参考国际相关鬏域鲍按零标准，提出了开发粼 系统的可行的解决方案，希耀能够在国内的信息安全领域作出应有的 贡献。 本论文创新点在于所研究丌发v p n 系统同时支持s s l v p n 和功 麓上类修传统l p s e e v p n 支特撑瑶应孺酶s s l 王xv p n 两种模式，满 足不同的应用和环境要求，可制定不同的使用模式，比单一功能的传 统v p n 更麓满足多变的实鼯应用需求。同时集合静态励态鞠令和数 字t 正书等多萼申认证方式，最大程度像障用户遇信数掇与系统安全。系 统备管理模块独立实现各有功能，同时又具有良好的交互性。系统提 供丰富斡定巷秘二次秀发接鼹，馒予最终雳户形成逮合自身特点教令 性化服务能力。 本论文深于l 窳薅伐酝绩瓣技蠢疆公司疆究舞发s e 鼹羚v p n 系 统的项目( 该项目获得科技毅中小企业技术创新基金立项，立项代码 弼c 2 6 2 2 1 1 潲7 ) ，本久在箕中参与并担任大量工襻。本论文课题酌 开展，紧密跟踪国际上先进网络安全技术，麓开发完成付诸缴产将蛊 接产生经济效益和社会效益。 7 j b 京交通大学硕士学位论文 1 2 2 论文主要王作 本文从以基本豹理s c c 和s s l 协议蠹窖羚始，研究藤涉及相关的 密镄寝鹦机制，认诞热密技术，虢及数字谨稍技术和v p n 的体系架 构，遥包括所实现的一些应用层协议的处理过程。 燕要的研究王馋如下： ( 1 ) 分析i p s e c 协议与s s l 协议棱，对菸协议的体系绥构和各层 处理流程做了详细解析，并且从安全性方面进行分析。 ( 2 ) 礤究了棚芙的一些加密簿法亵基予p k l 的试谨楗制，包摇 r s a 算法和数字诫书等， 车为系统实现的辅驹工作。 ( 3 ) 研究了j a v a 平台上的安众机制，对j a v ap l u 争i n 的工作原理 绘出了描述，同时窝现了对a a s s 文律款打憩秘数字签名。 ( 4 ) 设计了v p n 的体系结构，工作过程当中客户端鞠黻务器端的 私有掇手协议，以及工作流程，初步完成了几个模块的开发，使其可 以正露工作。 1 3 论文的结构 论文共分为蠢章。 第一章：介绥选题背景和主要工作。简肇介绍v p n 的藻本概念 和特点，阐述了箕发展现状。 第二章：讨谂本论文中凝涉及关键技术。分缀球s e 斟p n 积s s l v l n 的安全愚悲_ 鞍框架，介绍了疆s c c 协议和s s l 协议鹃慕本定义； 分析了两种协议的正作原理和两种n 的结构及其安全机制；介绍 公共鬻锈基础结构( p 觳) 体系，包摄p 嬲体系絮梅、技零纂礁；数 字诞粥的功能与组成；c a 的功缝与结构等。 8 第三章：介绍本v p n 系统的设计目标与设计原则以及系统中使 用到的核心创新技术，包括s s l e x 和动态页面关键信息提取技术。 第四章：全面详细叙述了系统各功能模块的具体实现。包括系 统中四大功能模块的功能描述，原理基础与技术实现。 第五章：对于系统性能进行系列测试的结果及分析。 9 j b 京交通大学硕士学位论文 第二章系统平台关键技术 2 1 狰s e c v p n 技术 2 1 1l p s e c 协议综述 l 薹 s 耱议是瓣球予l 鼙9 8 冬l l 秀公毒戆糟安全拣壤，它是在 i p 滕上对数据包进行高强度的安全处理，提供包括访问控铷、无连接 的究熬性、数据源认证、抗重播保护、保密性和有限传输流保密性在 内懿黻务，这些黢务提供对瑾爱其上层耱议瓣攥护。基嚣l p s 鼓广 泛成朋于实现端判端的安全、虚拟专用网和爱全隧道【“，它对l p v 4 是 可选的，对于i p v 6 是强制必须实施的，是唯一一种可为任何形式的 l 珏| e f 瓣逶售提供安全保障竣臻议，毽是爨予秽震、竞整懿一穆基穑 网络安全方案，i p s e c 协议是个协议组，它包含a h 协议、e s p 协 议和i k e 协议等。i p s e c 协议是一个范围广泛、丌放的虚拟专用网安 全蛰汉。最逶合霹臻懿b n 羁糊蠛之阉豹纛羧专瘸潮，翻肉邦霜瘟 拟专用网。 i p s e c 安全服务包括访问控制、数据源认诳、无连接数据完整性、 撬耋撩、鼗蕹瓠爨魏窝寿羧戆遴售滚量瓠窦稳。强s e c 适救囱l 6 迁 移，谨提供所有在网络层上的数据保护，提供透明的安全通信。i p s e c 用密阑技术从三个方面来保证数据的安全。即；( 1 ) 认证：用于对主 撬翻漩熹送行：旁镑蕤羯；( 2 ) 寇熬毪捡查：簇予僳涯数嚣谯逶逶两终 传输时没有被修改；( 3 ) 加密：加密i p 地址和数据以保证私商性。球s e c 协议的作用主要脊两个：一个怒保护l p 数据包的内容，另外一点就 是遴避数据毽籍滚劳实蓬受售镁逶谖寒夔辫麴络袭毒；这辩予我餐当 有一魑重要的数据在传输的过糨中需要加以保护或者防炽监听来说 1 0 系统平台关键技术 无疑是一个好消息。口s e c 的优点在于：窀定义了一套用于认证、保 护私有性和完憋性的标准协议。i p s e c 支持系列加密算法如d e s 、 三重髓s 、辩嚣a 。它检查转输豹鼗鬃镶鹣完整 耋，激确保数鬟没蠢 被修改。i p s e c 用来在多个防火墙和服务器之间提供安全性。 2 。l 。2l p & c 童传原理 i p s e c 协议由安全协议( 包括a h 协议和e s p 协议) 、密钥管理协 议( 如i k e ) 以及认证和加密算法等组成。 l p s e c 蛰议( 龟瑟a 珏帮糙玲囊哥惹来窳护一个宠熬戆p 载饕， 亦可用来保护某个i p 载衡的上层协议。这两方面的保护分别趋由 i p s c c 两种不同的“模式”来提供的传送模式和隧道模式。其中， 袭送模式溺；| 乏绦妒主浸瓷议；嚣隧遂模式用来僳护整令臻数据摄。 在传送模式中，i p 头与上层协议头之间滞插入一个特殊的口s e c 头， 憋个用户的i p 数据包被用米计算e s p 包头，整个i p 包被加密并芹 i 辎薹包头一起较鼙装在一令耨兹强毽蠹。这样当鼗嚣凌秘l 蹦l e | 上转 送时，真正的源地址和目的地址被隐藏起来；而在隧邋模式中，要保 护的整个i p 瓴都需封装到另一个口数据报里，同时程外部与内部i p 头之润摇入令强s e c 头，哭嘉褰瑟耱浚( 蕾c p 、u d 爹、l 潋p 等 及 数据进行加密。在这种模式下，源地址、目的地址以及所有邛包头 的内容都不加密。i p s e c 两种模式的数据封装方式如图2 1 所示。鼹 秘臻s e c 蛰议( a 嚣瑟e s 秘残溺对戳簧邀模式或隧遥貘式工季筝。 l l 北京交通大学硕士学位论文 原始披据乜 伯_ i 蓉模式数獬包 隧道模式数= | i 乜r i i ；五_ i i i 五i f 霉；嚣f 委磊i 鬲夏两i i i 习 l 。+ + ，l 一l ：j 0 j ：i - - ：_ ：- - - 二：_ 注：灰色部分为数嘏加密部升 图2 1i p s c c 数据封装方式 由构建方法所决定，对传送模式所保护的数据包而言，其通信终 点必须是一个加密的终点。有时可用隧道模式来取代传送模式，而且 也许能由安全网关使用，来保护与其它连网实体( 比如一个虚拟专用 网络1 有关的安全服务。在后一种情况下，通信终点便是由受保护的 内部头指定的地点，而加密终点则是那些由外部i p 头指定的地点。 在i p s e c 处理结束的时候，安全网关会剥离出内部i p 包，再将那个包 转发到它最终的目的地。为正确封装及提取i p s e c 数据包，有必要采 取一套专门的方案，将安全服务，密钥与要保护的通信数据联系到一 起；同时要将远程通信实体与要交换密钥的i p s e c 数据传输联系到一 起。这样的构建方案称为“安全联盟( s e c u i i t y a s s o c i a t i o n ，s a ) ”。i p s e c 的s a 是单向进行的。也就是说，它仅朝一个方向定义安全服务，要 么对通信实体收到的包进行“进入”保护，要么对实体外发的包进行 “外出”保护。具体采用的方式，要由以下三方面的因素决定： “安全参数索引( s p i ) ”，该索引存在于口s e c 协议头内： l p s c c 协议值； 要向其应用s a 的目标地址，它同时决定了方向。 通常，s a 是以成对的形式存在的，每个朝一个方向。既可人工 系统平台关键技术 创建它，亦可采用动态俐建方式。s a 驻留韬安全联盟数据库( s e c u r i t y a s s o d a t i o nd a t a b 船e ，s a d b ) ”内。 瓣s e c 策噻刍“安全繁稳鼗器痒s e c 珏磊l y 黼女。yd a | 籼s e ，s 嘲黯 以维护。在s p d 这个数攥库中，每个条霸都定义了要保护的怒什么 通信、怎样保护它以及和谁共享这种保护。对于进入或离开l p 堆栈 的姆个包，都必须检索s p d 数据库，调焱可能的安全应用。对个 s p 转条嚣来说，它露熊定义了下述几静嚣为：丢弃、绕过 三l 及疲麓。 獒串，“丢弃”表示不诖这个包进入或终蠢；“绕过”表示不对一个努 出的包应用安全服务，也不指望一个进入的包进行了保密处理；而“应 用”是指对外出的包成用安全服务，同时袋嫩进入的包已应用了蜜全 服务。对那些定义了“皮用”行为豹s p d 条目，它们均会指向个 或套s 怠表示要褥箕艨麓予鼗蕹龟。 假定某个s p d 条麟将行为定义为“应用”，但并不指向s a d b 数 据库内己有的任何一个s a ，那么在进行任何实际的通信之前，酋先 必须创建那些s a 。如果这个规则用于自外入内的“进入f i n b o u n d ) ， 逶继，嚣且s a 海不存在，测按照l p s c c 蒸本架搀豹怒定，数攒彀必 籁菇彝。强如该规刘稻予鲁内囱外的“外躐f o v 毛b o 硼m ”逶傣，刘通 过i n t e m e t 密钥交换，便可动态地创建s a 。 i p s e c 结构定义了s p d 和s a d b 这两种数据库之间如何沟通，这 是邋过撑s e c 的封装鸯拆封来实现豹。此外，它还定义了不同的糟s e c 实藏方案螽鹰共存。然纛，它帮浸寿定义蒸零l p s e c 漭议豹运雩# 方式。 这方面的信息包含在弱辨两个不同的文件中，一个定义了“封装安全 载犄( r f c 2 4 0 6 ) ”，另一个对“验证头艰f c 2 4 0 1 ) ”进行了说明。 两种球s e c 协议均提供了一个抗重播服务( a n t i r e p l a y ) 。为抵抗不 北京交逶大学硕士学位论文 怀好意的人发起重播攻击，膳s e c 数据包专门使用了一个序列号，以 及一个“滑动”的接收窗翻。在每个撙s e c 头内，郝包含了一个独一 无二、纛筚璃递增囊每薄确专。餐建鳋一拿s a 嚣，澎燹号覆会耪戆豫 为零，并在进行m s c c 输出处理前，令这个俊递增。新的s a 必须在 序列母阐归为零之前创建。由于序列号的长度为3 2 位，所以必须谯2 的3 2 次方个数据包之前。接收窗口的大小可为犬于3 2 的任何值，能 接荐为醮。姨蝗能考虑，窝辩大蠢、最妊是最终安薅零s 兹那台计舞 辊靛字长度的整数倍。窗翻缀左端对应予窗蜀越始位置的序列号，聪 最右端对应于将来的第“窗口长度”个数据包。接收到的数据包必须 是新的，且必须落在窗口内部，或靠在窗口右侧。否则，便将其萎辫。 那么，如何判断一个数掇艨楚“薪”豹昵? 只要它在窗口内是从来出 毽 窭翁，我锭霞谈为它跫赣瓣。镁魏浚舅熬一个数攘毽靠在塞蜀袁翻， 那么只黉它未能通过真实憾测试，也会将其丢弈。如通过了真实悔检 查，窗阴便会向右移动，将那个包包括进来。数据包的接收顺序可能 被打矾，但仍会得到正确的处理。还要注意的怒那些接收迟的数据钒 f 也裁怒滋，在一个毫效安全远攫接入v p n 系绞设诗与实现弱数豁锻 之螽接收，僵其序瓢号大予密日静长度1 ，这搴申数据包会被丢弃。 2 1 3 隧道( n n n e l ) 概念 ( 1 ) 髓邀豹基本概念 疆遴撵戆是羁瑶一耱楚缮资浚来终戆贯一耱朗络癸议，宅主要秘 用网络隧道协议来实现这种功能嘲。网络隧道拽术涉及了三种网络协 议，即阿络隧道协议、隧邋协议下面的承载协议和隧道协议所承裁的 被承载协议。 1 4 系统平螽关键技术 在两灞之间建立的震拟专用阏络，裁楚一种隧道技术豹运蘑蚴。 举例来说，若a 嬲络在b 网络上建立一条隧道。a 网络张隧道两端 的计算机之间要甄相传递资料，就必须有致的通讯协议，但资料在 逶过隧道传送熬过程中，龆必须傻熙b 网络所用熬通讯班议。我们嚣 嚣传送的资料为载荷( p a y l o a d ) ，对b 网络来说，载荷可以悬a 网络所 翔逮瀑按议豹椟( 蠹毽氆e 或售患分缀嵇a 矗e 1 ) 。鸯了谴载蔼霹黻在b 潮 络上的隧道端点( t u n n e le n d p o j n t ) 之间传送，隧道协议( t u i i e lp m t o 1 ) 必须将该帧或信惑分组翔上一个颧终静糠头香封装起来。这个额多 标 头会提供路径选择的信息，让封装后的载荷可以在b 网络上传送到隧 道的另一端点去。载荷到达隧道的另一端点时，就会鳃除辩装，还廉 贼原来的帧或信息分组，继续传送到a 网络另一端最终的目的地去。 隧道技术包括了上述的封装、传输及解除封装整个过程。b 网络程其 中所扮演豹是一个抟输嬲络，它珥强是k l e m 娃这个基翦最灸人掰酝、 最普及且经济的网络服务，但也可以用其它任何可以当作传输网络的 公众或专灞霹络耱健。 ( 2 ) 隧道协议类型 按照开放系统互联( 0 s i ) 的参考模型划分，隧道技术可以分为 第二层帮第三层黼遥蛰议两耱类蘩。第二滋蓬遂秘谈弱。予建旅二瑟掰 络协议，它主要成用于构建远程访问虚拟专网( a c c e s s w i n ) ；另一 种是第三层隧道协议，瘸子传输三层网络协议，它主要应稻子构建企 般内部纛拟专网( i n t 姗e t v p n ) 和扩展的众业内部虚拟专湖( e x t r 蝴e t v p n ) 。 北京交通大学硕士学位论文 第二层隧道协议 第二层隧道协议对应o s i 模型中的数据链路层，使用帧作为数据 交换单位。p p l p ，l 2 t p 和l 2 f ( 第2 层转发) 都属于第二层隧道协 议。第二层隧道协议是先把各种网络协议封装到p p p 中，再把整个数 据包装入隧道协议中。第二层隧道协议主要有以下三种： 第一种是由微软、a s c e n d 、3 c o m 等公司支持的p p l 限( p o i i l tt 0 p o i i i t t 、l n n e l i n g p m t o c o l ，点对点隧道协议) ，在w j n d o w s n t 4 0 以 上版本中即有支持。 第二种是c i s c o 、北方电信等公司支持的l 2 f ( h y e r 2 f 0 州a r d i n g ， 二层转发协议) ，在c i s c o 路由器中有支持。 第三种由i e t f 起草，微软、a s c e n d 、c i s c o 、3 c o m 等公司 参与的k 憎p ( h y e r2 t u n n e l i n 醇m 妣o l ，二层隧道协议) 结合了上 述两个协议的优点，l 玎p 协议是目前i e t f 的标准，由i e t f 融合p 盯p 与l 2 f 而形成。 i2 t p 隧道是在i s p 和n a s 之间建立的，此时i s p 就是l 2 t p 访 问集中器( l a c ) ，n a s 也就是l 2 t p 网络服务器( l n s ) 。l a c 支 持客户端的l 2 t p ，用于发起呼叫，接收呼叫和建立隧道，l n s 则是 所有隧道的终点。在传统的p p p 连接中，用户拨号连接的终点是l a c ， i2 t p 使得p p p 协议的终点延伸到l n s ，在一个l n s 和l a c 对之间 存在着两种类型的连接，一种是隧道( t u 曲e 1 ) 连接，它定义了一个 l n s 和u 屺对；另一种是会话( s e s s i o n ) 连接，它复用在隧道连接 之上，用于表示承载在隧道连接中的每个p p p 会话过程。 1 6 系统平台关键技术 第三层隧道协议 三层隧道协议对应o s i 模型中的网络层，使用包作为数据交换 单位。l po v e ri p 以及i p s e c 隧道模式都属于第3 层隧道协议，都是将 i p 包封装在附加的i p 包头中通过i p 网络传送。 除以上所述，由隧道的创建类型还可分为自愿隧道和强制隧道。 自愿隧道( v o l 叫t a r y t u 蚰e i ) 当一台工作站或路由器使用隧道客户软件创建到目标隧道服务器 的虚拟连接时，由用户或客户端计算机通过发送v p n 请求来进行配 置和创建一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧 道的一个端点。 为实现建立自愿隧道这一目的，客户端计算机必须安装适当的隧 道协议。自愿隧道需要有一条i p 连接( 通过局域网或拨号线路) 。 使用拨号方式时，客户端必须在建立隧道之前创建与公共互联网络的 拨号连接。一个最典型的例子是h l t e m e t 拨号用户必须在创建i n t e m e t 隧道之前拨通本地i s p 取得与i i l t e m e t 的连接。 对企业内部网络来说，客户机已经建立与企业网络的连接，由企 业网络为封装负载数据提供到达目标隧道服务器的路由。 强制隧道( c o m p u l s o r y 岫蛐d ) 由支持v p n 的拨号接入服务器配置和创建一条强制隧道。此时， 用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道服务 器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。 目前，一些商家提供能够代替拨号客户创建隧道的拨号接入服务 器。这些能够为客户端计算机提供隧道的计算机或网络设备包括支持 北京交通大学硕士学位论文 p p r p 协议的前端处理器( f e p ) ，支持i z r p 协议的也t p 接入集线 器( l a c ) 或支持口s e c 的安全i p 网关。 以肿为例，为正常的发挥功能，f e p 必须安装适当的隧道协 议，同时必须能够当客户计算机建立起连接时创建隧道。 在i n t 啪e t 连接中，客户机向位于本地i s p 的能够提供隧道技术 的n a s 发出拨号呼叫。例如，企业可以与某个l s p 签定协议，由i s p 为企业在全国范围内设置一套f e p 。这些f e p 可以通过i i l t e m e t 互联 网络创建一条到隧道服务器的隧道，隧道服务器与企业的专用网络相 连。这样，就可以将不同地方合并成企业网络端的一条单一的i r i t e m e t 连接。 因为客户只能使用由f e p 创建的隧道，所以称为强制隧道。一旦 最初的连接成功，所有客户端的数据流将自动的通过隧道发送。使用 强制隧道，客户端计算机建立单一的p p p 连接，当客户拨入n a s 时， 一条隧道将被创建，所有的数据流自动通过该隧道路由。可以配置 n 弹为所有的拨号客户创建到指定隧道服务器的隧道，也可以配置 f e p 基于不同的用户名或目的地创建不同的隧道。 两种隧道技术相比较，自愿隧道技术为每个客户创建独立的隧 道，而f e p 和隧道服务器之间建立的隧道可以被多个拨号客户共享， 而不必为每个客户建立一条新的隧道。因此，一条强制隧道中可能会 传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才 终止整条隧道。 2 1 4 验证头( a h ) 协议和封装安全载荷( e s p ) 协议 1 验证头( a u n l c 】啦吐o h e a d e f ，a h ) 协议 系统平台关键拄米 臻s e c 验涯头捺议a 挺燕登s 体系绩擒孛戆耱主要捺议，震 来为口数攒包提供以下服务：1 数据完整性，即打包内容不会在传 输避程中更敬；2 数据源认证，邸可以由翳终终端或黉霹络设餐确认 用户身份，并在 k a 如r 和信息分组之间添加一个验证链接，撮供给 通信的两端泉验证该傣息分组到底是不是由对方发出的；3 提供保护 以避免重发。另乡 ，a h 提供认诞及装载数据的完整健，但不含机密 性。由于它不提供机密性，所以不受密码组件有对外输出的官方限制， 藏髓横跨不满静国家酌因籍阐往塌。 a h 协议通过在整个i p 数据报中实施一个消息文摘计算r 柬提供 完整往秘诀谖骚务。滔惑文攘裁怒一令特定酌单囊鼗攘凑数，家麓够 创建数据报的唯一数字指纹。消息文摘算法的输出结果放到a h 包头 的认涯数摄( a u 斑e b t i c a 娃潍d 睦l a ) 区。瀵藤文攮5 葵法( m 掰) 是 一个单向数学函数。当应用到分组数据中时，它将整个数据分割成若 于个1 2 8 比特的信息分组。每个1 2 8 比特为一组的信患是大分缀数据 的压缩或摘骤的表示。当以这种方式使用时，m d 5 只提供数字的完 整蚀服务。一个消息文摘在被发送之前和数掘被接收列以后都可以根 攒一组数据计算出来。翔采两次计算出来瀚文擒值楚一样的，鄹么分 组数据在传输过程中就没有被改变。这样就防止了无懑或恶意的窜 改。在整焉瓤m a c m d 匹谈逶道豹数据交换中，发送者使矮叛籍交 换媳的密钥来首次计算数据报的6 4 比特分缀的m d 5 文摘。从一系列 戆1 6 i 将孛诗雾毫寒豹文揍僮被暴搬袋一令夔，熬薅放囊a 至差包头 的认证数据隧，随后数据报被发送给接收者。接收者也必须知道密钥 值，以便计算蹬正确的溃息文摘势且将其与接收到的认证演息文攮进 行适配。如槊计算出的和接收到的文摘值相等，那么数据报在发送过 北京交通大学硕士学挝论文 稷巾就没有被改变，藤段可以相信是由只知道秘密密钥的另一方发送 懿。 a h 协议的格式结构如图2 - 2 ； 圈2 - 2 艋协议格式结构 下一个擐头( 耗x l k a & f ) 长度8 令绽，这个蠡头是定义a h 霜 面数据的类型。数描长度字段也是8 个位，它决定认证数据域位的长 发，另外还有1 6 个探留位做未来之用。嵌全参数索引( s e c u r i t y p a r a m e t e fi n d e x ，s p n 是长度3 2 个位的虑拟随机数，与目的i p 地 疑帮安全耱议( a 鞋) 辐缝台，难一谈澍数掇擐懿安全联接( s e 鞋癌y 翩s o c i a t i o n ) ，例如”是表示没有s a ，蕊l 2 5 5 刚是保留德。在 s p l 后面的是顺序号粥字段或序列号字段( s e q u e n c c n u n l b e r f i e l d ) ，加入这个号码研防止重送攻击( r c p l a ya t t a c k ) 。最蔚一个字 段燕认涯数据，长度怒霹变的8 2 位的髂数) ，显示了使用信感摘要丞 数m d 5 ，它产生1 2 8 彼静杂凑函数值。 2 封装安全载荷 e n c a p s u l a t i n gs e c u “t yp a y l o a d ，e s p ) e s p 可以保证数据的完整性、真实性相私有性，e s p 将需要保护 瓣瘸户数据进行攘蜜藤器封装到p 包中。每a h 相比，e s p 掇供了 鞠同的安全i 夔务势提供了一种徐密性( 溯密) l 廷务，褥e s 薹与a h 备自提供的认证其根本区别在于它们的榄旅范围。特别地，如聚那些 字段不是由e s p 封装的，那么e s p 不会支持任何口头字段。e s p 不 仅提供保密性服务，两时也提供一种可以选择的确认性服务。e s p 协 议志要强来楚毽瓣撑傣患分缝静麴密，魏终瓣弧涯遣夔供鬈耱程痉 系统平台关键技术 的支持。e s p 是与具体的加密算法相独立的，几乎可以支持各种对称 密钥加密算法，例如d e s ，喇p l e d e s ，r c 5 等。为了保证各种口s e c 实现问的互操作性，目前e s p 必须提供对5 6 位d e s 算法的支持。 e s p 协议数据单元格式由三部分组成，除了头部、加密数据部分 外，在实施认证时还包含一个可选尾部。头部有两个域：安全策略索 引( s p i ) 和序列号s n ( s e q u e n c en u m b e r ) 。使用e s p 进行安全通信之前， 通信双方需要先协商好一组加密策略，包括